Como cada segundo martes de cada mes, el equipo de seguridad de SAP ha compartido las notas de seguridad que solucionan vulnerabilidades en los sistemas SAP en el ya denominado  “SAP Security Patch Day

Este mes, hay 16 notas de seguridad de las cuales 8 son de prioridad alta con una puntuación CVSS por encima de 7. De las 16 notas, 6 son de versiones anteriores de otros meses.

La vulnerabilidad CVE-2020-6207, ya comentada en el artículo “La importancia de la seguridad en Solution Manager“ es la que se lleva un 10 de puntuación CVSS que se soluciona instalando la nota 2890213. En el listado también aparecen 3 notas con una puntuación CVSS por encima de 9.

Update to security note released on April 2018 Patch Day:
Security updates for the browser control Google Chromium delivered with SAP Business Client

Ésta es una vulnerabilidad recurrente y aplica a las empresas que utilicen Business Client como cliente GUI de SAP. En concreto, aplica al navegador que utiliza internamente el programa y no es otro que Google Chromium. Al ser un navegador de terceros, pero estar dentro del paquete, SAP debe liberar un parche de Business Client cada vez que Google libera parches de seguridad para su navegador.

Improper Access Control in SAP Marketing (Mobile Channel Servlet)

Aplica a las versiones 130, 140 y 150 de SAP Marketing y permite que un atacante autenticado en el sistema pueda ejecutar funciones que a priori están bloqueadas. De esta manera puede acceder a datos de contacto quedando expuesta la confidencialidad de los datos.

[CVE-2020-6318Code Injection vulnerability in SAP NetWeaver (ABAP Server) and ABAP Platform

De las 4 Hot News de este mes, esta es a mi entender la más crítica ya que afecta a todas las versiones de NetWeaver, permitiendo a un atacante inyectar código malicioso en la memoria dándole permisos para modificar, eliminar e insertar datos. También es posible mediante este código producir un fallo general apagando los sistemas.

Además de las 3 vulnerabilidades comentadas, podéis ver en el siguiente cuadro todas las notas liberadas este mes para chequear si aplica o no en vuestros sistemas:

vulnerabilidades septiembre

En lo que llevamos de año el equipo de seguridad de SAP lleva liberadas 148 notas de seguridad de las cuales 26 tienes una puntuación CVSS por encima de 9 y 30 por encima de 7.

LOWMEDIUMHIGHHOT NEWSTOTAL
Enero16  7
Febrero 113115
Marzo194418
Abril 165526
Mayo 115622
Junio 124218
Julio161210
Agosto 86216
Septiembre192416
TOTAL4883026148

El desglose de notas liberadas por tipos de vulnerabilidades en lo que llevamos de año es:

resumen vulnerabilidades

Este mes, que parece que antes no lo trataban así, se han contabilizado 38 vulnerabilidades de tipo “Improper input validation” que como su propio nombre indica, sucede cuando el programa no valida, o valida de forma incorrecta los datos insertados, afectando al flujo de control del programa.

Como siempre, sólo queda recomendar realizar mensualmente un chequeo de las notas de seguridad liberadas por SAP e instalar las que apliquen a los sistemas de cada empresa.

Fuentes:

https://www.incibe-cert.es/

https://wiki.scn.sap.com/

https://cve.mitre.org/